Post on 18-Oct-2019
T A R I K H : 6 J U N 2 0 1 7 ( S E L A S A )
M A S A : 9 . 3 0 P A G I
T E M P A T : B I L I K M E S Y U A R A T B U N G A T A N J U N G
MESYUARAT KAJIAN SEMULA PENGURUSAN (MKSP) ISO/IEC 27001:2013 (ISMS)
SISTEM PENGURUSAN KESELAMATAN BAGI MAKLUMAT ELEKTRONIK CUKAI TAKSIRAN
MAJLIS BANDARAYA PETALING JAYA
LAMPIRAN A
CERTIFIED TO
ISO/IEC 27001:2013
CERT NO: AR 6424
Surveilance Audit ISMS
AGENDA MKSP ISO/IEC 27001:2013 (ISMS)
Agenda Mesyuarat Kajian Semula Pengurusan (MKSP) merangkumi:
1. Ucapan Pengerusi
2. Mengesahkan Minit Mesyuarat
3. Tindakan susulan daripada Kajian Semula Pengurusan yang lepas.
4. Perubahan Isu dalaman dan luaran pelaksanaan ISMS
5. Laporan Penemuan Audit ISMS 1. AUDIT SIRIM (LAMPIRAN I)
2. AUDIT DALAM (LAMPIRAN II)
6. Maklumbalas terhadap penemuan.
7. Status tindakan pembetulan dan pencegahan.
8. Perubahan-perubahan yang boleh memberi kesan terhadap Sistem
Majlis
9. Cadangan penambahbaikan
10.Hal-hal lain
11.Penutup
2
Lampiran A
SKOP ISMS Skop pensijilan ISMS MBPJ memfokuskan kepada keselamatan aset majlis serta
maklumat yang melibatkan hasil utama Majlis dan memberikan impak tinggi
kepada organisasi.
Skop pensijilan ISMS MBPJ adalah seperti berikut:
“Sistem Pengurusan Keselamatan Bagi Maklumat Elektronik Cukai
Taksiran Majlis Bandaraya Petaling Jaya”
Skop ini telah diluluskan oleh Jawatankuasa Kemasyarakatan,
Perkhidmatan, Korporat dan Teknologi Maklumat bertarikh 14 Nov 2014,
BIL 9/ 2014.
Skop yang terlibat adalah Pusat Data MBPJ, Sistem Cukai Taksiran,
Sistem Penilaian yang memberi maklumat kepada Sistem Cukai Taksiran
dan Sistem Kutipan yang menerima maklumat bil dan mengemaskini
bayaran ke dalam Sistem Cukai Taksiran dan Sistem Pengurusan Latihan
bagi mengenalpasti keperluan dan keberkesanan latihan.
Lampiran A
SKOP ISMS
Jabatan utama dan sokongan yang terlibat adalah seperti berikut:
Jabatan Utama o Unit Teknologi Maklumat
o Jabatan Penilaian Dan Pengurusan Harta.
o Jabatan Perbendaharaan
Jabatan Sokongan o Bahagian Sumber Manusia
o Jabatan Kejuruteraaan
o Unit Undang-Undang
o Jabatan Penguatkuasaan dan Keselamatan
o Unit Audit Dalam
Lampiran A
NO AKTIVITI TAHUN 2016 TAHUN 2017
NOV DEC JAN FEB MAC APR MEI JUN JULY OGOS SEPT OKT NOV DIS
1 Perancangan aktiviti Surveillance Audit (tahun ke-2)
2 Mesyuarat Pasukan Induk SMS 10 9 17 25
3 Bengkel Semakan Dokumen ISMS 8-10
4 Program Kesedaran Keselamatan ICT
1-15
5 Mesyuarat RTP (Risk Treatment Plan)
8-10
6 Semakan Dokumentasi MYRAM
8-10 16-18
7 Semakan Dokumen P1-P3 8-10 16-18
8 Semakan RA (Risk Assessment)
16-18
9 Semakan Dokumen sokongan ISMS
16-18
10 Semakan SOA 16-18
11 Preventive Maintainance (PM)
12 Audit Dalam ISMS
17-22
13 Mesyuarat MKSP/ Pengurusan Tertinggi
6
14 Semakan Semula Audit Dalam
25 3
15 Fire Drill
16
16 Audit SIRIM 21-22
Petunjuk : Perancangan Sebenar
Bergantung kepada Bahagian Sumber Manusia
6
Perkara
Tempoh (Hari)
Mula
Akhir
1. Mesyuarat Permulaan:
i) Pasukan Induk ISMS
ii) RTP (Risk Treatment Plan)
iii) MKSP/Pengurus Tertinggi
iv) Lawatan ke pusat data dan menara MBPJ.
147 hari 10 Jan 6 Jun
2. Program Kesedaran Keselamatan ICT i) Seminar dan latihan Untuk Pasukan ISMS
a) Bengkel Kesedaran dan Refresher - ISO 27001:2013
b) Bengkel Audit Dalaman – ISO 27001:2013
c) Bengkel Semakan Dokumentasi - – ISO 27001:2013
ii) Taklimat Kesedaran Keselamatan ICT kepada kakitangan MBPJ
iii) Pertandingan Rekabentuk
iv) Petandingan Mencipta Skrin Saver
v) Pertandingan Amazing Running
vi) Kuiz Pameran dan penyampaian hadiah
48 hari 1 Mac 18 April
3. Semakan Dokumen ISMS Untuk Memastikan Kecukupan Dokumentasi
i) Penilaian Risiko MYRAM
ii) P1-P3
iii) RA (Risk Assessment)
iv) Dokumen sokongan ISMS
v) Statement of Applicability (SOA)
vi) Audit Dalaman ISMS
vii) Preventive Maintainance
viii) Semakan Semula Audit Dalam
ix) Fire Drill
161 hari 8 Mac Ogos
7
Perkara
Tempoh (Hari)
Mula
Akhir
4 . Audit Dalam
i) Nonconfirmity Report (NCR) Klausa A.7 - Human resource security Klausa A.8.2.1 - Information Classification Klausa A.12.2.1 - Controls against malware Klausa A 6.1.1 - Information security roles and responsibilities ii) Opportunities For Improvement (OFI)
Klausa A.9 - Access Control, A.9.4.1 - System and application access control
Klausa 7.5 -Documented Information, Klausa 9.2 - Internal Audits Klausa A.8.2.3 - Handling of Assets Klausa A.8.1.3 - Asset Management Klausa A.18.1.2 - Intellectual property rights Klausa A.18.1.3 - Protection of Records Klausa A.11.1.1 - Physical Security Perimeter
Klausa A.11.1.5 - Working in Secure Areas Klausa A.11.1.2 - Physical Entry Controls Klausa A.11.1.1 - Physical security perimeter.
83 hari 17 Mei 8 Ogos
5 . Audit Luar SIRIM (folow up) i) Nonconfirmity Report (NCR)
- 10.1 - Nonconformity and corrective action - A.12.2.1 - Controls against malware - A.12.4.4 - Clock synchronisation
ii) Opportunities For Improvement (OFI) Klausa 7.5.3 - Control of documented Information Klausa 8.3 - Information Security Risk Treatment Klausa 9.1 - Monitoring, Measurement, Analysis and Evaluation Klausa 9.2 - Internal Audit Klausa 9.3 - Management review
2 hari 21 Ogos 22 Ogos
Isu Dalaman
Kekuatan :
- Sokongan daripada pihak pengurusan
- Kakitangan yang komited dalam melaksanakan inisiatif program keselamatan
- Perkhidmatan berkaitan cukai taksiran yang efektif dan efisyen serta memenuhi keperluan standard ISO/IEC 9001
Peluang :
- Menjadi penanda aras kepada Pihak Berkuasa Tempatan (PBT) yang lain.
- Menambahkan keyakinan pelanggan dan pengawal undang-undang terhadap perkhidmatan sistem atas talian
- Sentiasa mengikuti perkembangan teknologi semasa (naik taraf sistem daripada client based kepada web based)
Kelemahan :
- Sistem legasi yang digunakan mempunyai ciri-ciri keselamatan yang kurang baik seperti userid boleh dikongsi dan digunakan serentak di lokasi yang berbeza
- Permasalahan integriti perkiraan dalam sistem seperti Sistem Cukai Taksiran
- Prestasi sistem yang tidak konsisten menyebabkan ketidaktepatan data
- Pengurusan perubahan dan pindaan aplikasi yang tidak konsisten bagi aplikasi Sistem Penilaian dan Cukai Taksiran
- Virus-attack , Ransomware
Ancaman :
- Kebarangkalian berlaku pencerobohan dan ketirisan maklumat
- Kebarangkalian berlaku serangan siber
ANALISIS SWOT
Isu Luaran
PERUBAHAN ISU DALAMAN DAN LUARAN PELAKSANAAN ISMS
AUDIT SIRIM 2016
i) Nonconfirmity Report (NCR) - 10.1 - Nonconformity and corrective action
- A.12.2.1 - Controls against malware
- A.12.4.4 - Clock synchronisation
ii)Opportunities For Improvement (OFI) Klausa 7.5.3 - Control of documented Information
Klausa 8.3 - Information Security Risk Treatment
Klausa 9.1 - Monitoring, Measurement, Analysis
and Evaluation
Klausa 9.2 - Internal Audit
Klausa 9.3 - Management review
AUDIT DALAM 2017
i) Nonconfirmity Report (NCR) Klausa A.7 - Human resource security
Klausa A.8.2.1 - Information Classification Klausa A.12.2.1 - Controls against malware Klausa A 6.1.1 - Information security roles and responsibilities ii) Opportunities For Improvement (OFI) Klausa A.9 - Access Control, A.9.4.1 -System and application
access control Klausa 7.5 -Documented Information Klausa 9.2 - Internal Audits Klausa A.8.2.3 - Handling of Assets Klausa A.8.1.3 - Asset Management Klausa A.18.1.2 - Intellectual property rights Klausa A.18.1.3 - Protection of Records Klausa A.11.1.1 - Physical Security Perimeter Klausa A.11.1.5 - Working in Secure Areas Klausa A.11.1.2 - Physical Entry Controls Klausa A.11.1.1 - Physical security perimeter.
Jumlah NCR: 3
Jumlah OFI: 5 Jumlah NCR: 4
Jumlah OFI: 10
PENEMUAN AUDIT Lampiran A
LAPORAN PERUBAHAN (TREND) PENCAPAIAN PELAKSANAAN ISMS
PENEMUAN AUDIT
STATISTIK BAGI TEMPOH 2015-2017
NCR OFI
AUDIT DALAM 2015 5 12
AUDIT SIRIM 2015 3 5
AUDIT DALAM 2016 5 11
AUDIT SIRIM 2016 3 5
AUDIT DALAM 2017 4 10
5
12
3 5 5
11
3 5 4
10
02468
101214
10
LAPORAN PENEMUAN
AUDIT PEMANTAUAN SIRIM 2016
11
Lampiran I
MAKLUMBALAS & TINDAKAN PENEMUANAUDIT SIRIM
12
• 29-30 Ogos 2016 – Audit Pemantauan bagi peringkat 1 bermula. Terdapat tiga (3) laporan ketakakuran Nonconformity Report (NCR) dan lima (5) peluang
penambahbaikan Opportunities For Improvement (OFI) dikeluarkan.
• 7 September 2016 - Laporan Penemuan Audit SIRIM dilaporkan dalam Mesyuarat Pengurusan Tertingi yang dipengerusikan oleh Datuk Bandar.
• 23 Nov 2016 - Jawapan maklumbalas terhadap 3 ketakakuran (NCR) telah diemelkan pada kepada Audit SIRIM untuk penutupan.
• 24 Nov 2016 - Kesemua laporan ketakakuran yang dikeluarkan telah pun ditutup sepenuhnya. Pihak Audit akan membuat semakan ke atas tindakan yang dibuat
serta bukti-buktinya yang diberi semasa audit pensijilan peringkat ke-2.
Lampiran I
AUDIT LUAR ISMS
TARIKH
AUDIT SIRM
• 29-30 Ogos 2016
TARIKH
AUDIT SUSULAN
• 24 Nov 2016 (NCR TUTUP)
PENEMUAN AUDIT LUAR
2016
• KETAKAKURAN (NCR) – MINOR= 3
• OFI= 5
PENEMUAN AUDIT LUAR ISMS 2016
Nonconformity Report
Opportunities For Improvement
KESIMPULAN AUDIT:
Jumlah NCR: 3
Jumlah OFI: 5
Lampiran I
14
PENEMUAN AUDIT DAN KLAUSA TERLIBAT
i) Nonconfirmity Report (NCR)
Klausa 10.1 - Nonconformity and corrective action
Klausa A.12.2.1 - Controls against malware
Klausa A.12.4.4 - Clock synchronisation
ii) Opportunities For Improvement (OFI)
Klausa 7.5.3 - Control of documented Information
Klausa 8.3 - Information Security Risk Treatment
Klausa 9.1 - Monitoring, Measurement, Analysis and
Evaluation
Klausa 9.2 - Internal Audit
Klausa 9.3 - Management review
Lampiran I
MAKLUMBALAS TERHADAP
PENEMUAN NCR
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN
15
Lampiran I
16
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) AIS-1
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
1.
10.1 Nonconformity and corrective action Pengurusan tindakan pembetulan bagi ketakakuran (NCR) pelaksanaan ISMS didapati tidak berkesan. Objective evidence : 1. Tiada siasatan punca dan pengesahan tindakan pembetulan yang
dibuat ke atas laporan Pemerhatian (OFI) daripada audit dalam. Contoh: P-02/2016, P-03/2016, P-04/2016, P06/2016, dan P-07/2016. 2. Tindakan yang diambil bagi penemuan audit SIRIM yang lepas tidak berkesan. Contoh: FAZ-1, Laporan Peluang Penambahbaikan bagi
kawalan A.12.2.1 dan A.11.1.2. 3. Tindakan yang diambil bagi penemuan audit dalam (NC-04/2016) tidak berkesan.
Membuat penyelarasan semula ke atas prosedur dan mengemaskini semula borang yang kurang jelas.
Telah dilaksanakan tindakan pembetulan ke atas langkah-langkah yang
disyorkan. (Pembuktian dilampirkan)
Lampiran I
Status Selesai
• Mengemaskini proses tindakan penambahbaikan/ pembetulan/
pencegahan di dalam prosedur Tindakan Penambahbaikan.
Pembetulan dan Pencegahan
• Mengemaskini Borang Laporan Penambahbaikan, Pembetulan dan
Pencegahan (MBPJ-ISMS-P1-005-L01)
• Mengemaskini Borang Laporan Penambahbaikan, Pembetulan dan
Pencegahan (MBPJ-ISMS-P1-005-B05)
• Menjalankan taklimat melalui email blast kepada pasukan
pelaksana dan pasukan audit dalam berkenaan perubahan
17
Lampiran I
18
Lampiran I
19
Lampiran I
20
Lampiran I
21
Lampiran I
22
Lampiran I
23
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) NR-1
Bil Penemuan Cadangan Tindakan
Penambah baikan
Tindakan /Status
2.
A.12.2.1 Controls against malware Kemaskini untuk virus signature bagi
sistem Antivirus Kyrol tidak dipantau. Kesemua komputer pengguna yang disemak semasa sesi audit memaparkan tarikh virus signature antara 31/3/2016 – 18/8/2016. Objective evidence :
Komputer 03-01-00-037, 03-01-00-050, 03-01-00-0360 di Jabatan Penilaian & Pengurusan Harta Komputer 02-01-00-019, 02-01-00-027 di Jabatan Perbendaharaan
Memastikan
penyeragaman versi antivirus sentiasa dikemaskini di dalam server utama.
Pihak Syarikat (Kyrol) telah melakukan tindakan restart ‘definition update’ dan kemaskini
untuk update / virus signature berjaya dibuat pada 1/9/2016, pukul 3.30 petang. Tindakan pembetulan akan dibuat dengan pemantauan pihak IT menstrukturkan semula sistem operasi anti virus dengan lebih baik pada tahun 2017 melalui kontrak
baru dengan pihak vendor bagi tempoh setiap 3 bulan bagi memastikan update dan virus signature sentiasa dikemaskini dan seragam ( senarai semak Tindakan Perlindungan kod Perosak
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
24
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) NR-2
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
3.
A.12.4.4 Clock synchronisation
Jam bagi beberapa buah komputer pengguna digerakkan mengikut satu sumber rujukan masa. Walau bagaimanapun, jam pada sumber waktu yang dirujuk didapati tidak merujuk kepada masa yang tepat.
Objective evidence : Komputer 03-01-00-037, 03-01-00-050, 03-01-00-0360 di Jabatan Penilaian & Pengurusan Harta – lambat 12 minit Komputer 02-01-00-019, 02-01-00-027 di Jabatan Perbendaharaan –
lambat 12 minit Laporan Kutipan di Kaunter 3, Mesin 1 yang menjana laporan terkini (sehingga 12:11pm) tetapi dicetak sebagai 11:59am
Memastikan waktu diselaraskan mengikut sumber rujukan server atau Active Directory (AD) bagi mengelakkan berlakunya sebarang
insiden.
Tindakan menyelaras waktu di server Active Directory telah dibuat mengikut piawaian SIRIM (mst.sirim.my) pada 14 Jun 2016, pukul 11.00
pagi sehingga 12.00 tengahari. Tindakan Pembetulan akan dilaksanakan dengan menaiktaraf perisian dan server Active
Directory untuk tahun hadapan.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
MAKLUMBALAS PENUTUPAN NCR
25
Lampiran I
MAKLUMBALAS TERHADAP
PENEMUAN OFI
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN.
26
Lampiran I
27
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) - Nur Aisya Mohd. Zamri
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
1.
Monitoring, measurement, analysis
and evaluation Selaras dengan isu-isu yang dikenal pasti, objektif keselamatan serta hasil daripada penilaian risiko, organisasi telah membangunkan beberapa metrik pengukuran bagi memantau pelaksanaan kawalan-kawalan
tertentu. Walau bagaimanapun, metrik tersebut boleh disemak kembali bagi memastikan: i) Metrik tersebut selaras dengan salah satu objektif keselamatan. Sebagai contoh, Metrik 2 : Backup dan Metrik 3 : Restoration.
ii) Pencapaian sebenar direkodkan dengan jelas.
Menyemak kembali
metrik pengukuran bagi kawalan Backup dan Restoration supaya ia selaras dengan objektif keselamatan dan memastikan pengukuran pencapaian sebenar
direkodkan dengan jelas
Semakan semula telah
dilaksanakan dengan merekodkan kekerapan bilangan aktiviti backup & restore yang telah dijalankan. Satu Laporan
Pencapaian sebenar juga direkodkan oleh pasukan rangkaian dan aplikasi.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
28
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) - Nur Aisya Mohd. Zamri
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
2.
Internal Audit Audit dalam telah
dilaksanakan oleh 4 juruaudit dalam yang terlatih. Pengauditan dijalankan dengan baik. Namun, kesaksamaan audit terhadap proses audit dalam perlu dilihat kembali. Perekodan punca penemuan audit juga perlulah lebih konsisten.
Perekodan punca
penemuan audit atau ‘root cause’ akan diselaraskan semula oleh pasukan Audit Dalam agar laporan yang dikeluarkan konsisten
Perekodan punca
penemuan audit atau ‘root cause’ telah diselaraskan semula oleh pasukan Audit Dalam.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
29
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) - Nur Aisya Mohd. Zamri
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
3.
Management review Organisasi
mempunyai beberapa platform bagi menyemak pelaksanaan ISMS di MBPJ seperti mesyuarat kajian semula pengurusan (MKSP), mesyuarat jawatankuasa kerja ISMS dan mesyuarat kemasyarakatan. Diperhatikan agenda yang
dibincangkan adalah komprehensif, namun, ianya boleh ditambah baik bagi menampakkan perubahan (trend) pencapaian pelaksanaan ISMS seperti pengukuran metrik, penemuan audit dalam dan hasil penilaian risiko
Agenda dalam
mesyuarat akan dikaji semula dan menampakkan perubahan pencapaian pelaksanaan ISMS mengikut aturan.
Laporan Perubahan
(trend) pencapaian pelaksanaan ISMS seperti pengukuran metrik, penemuan audit dalam dan hasil penilaian risiko akan dibincangkan dalam
mesyuarat MKSP bilangan 1/2017
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
30
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) Nor Aza Ramli
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
4.
Control of documented information
Kawalan bagi maklumat yang didokumenkan dilihat telah dilaksanakan. Walau bagaimanapun penambahbaikan boleh dibuat semasa menyemak kecukupan maklumat di dalam dokumen seperti merekodkan nama
penuh yang jelas, tarikh tandatangan diturunkan dan versi dokumen yang dirujuk. Selain daripada itu, cara dokumen disimpan perlu diperbaiki untuk memudahkan pencarian maklumat bila diperlukan.
Semakan kecukupan
maklumat perlu ditambahbaik oleh urusetia Pasukan ISMS. Cara penyimpanan dokumen berkaitan ISMS perlu diselaraskan.
Semakan terhadap
dokumen berkaitan telah dilaksanakan. Kawalan terhadap dokumen ISMS telah direkodkan dengan jelas, tarikh tandatangan
diturunkan dan versi dokumen juga dikemaskini. Cara dokumen disimpan telah dibaiki dengan melaksanakan ‘tagging’
untuk memudahkan pencarian maklumat bila diperlukan.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
31
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) Nor Aza Ramli
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
5.
Pelaksanaan risk treatment plan
telah dilihat dan didokumenkan. Walau bagaimanapun keputusan dari pelaksanaan risk treatment plan (RTP) tersebut perlu direkodkan dengan jelas dan digunakan semasa pentaksiran semula risiko yang dijalankan mengikut keperluan
organisasi.
Keputusan dari
pelaksanaan RTP akan ditambahbaik dari semasa ke semasa
Keputusan dari
pelaksanaan Risk treatment plan (RTP) telah direkodkan.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
RINGKASAN PENEMUAN AUDIT SIRIM
MBPJ telah memastikan bahawa kaedah penilaian risiko dapat menangani semua keperluan yang berkaitan. Terdapat juga bukti-
bukti yang menunjukkan pelaksanaan kawalan untuk mengurangkan
risiko yang dikenal pasti .
Secara keseluruhan, MBPJ telah melaksanakan Sistem Pengurusan Keselamatan Maklumat (ISMS) dengan baik. Komitmen daripada
pihak pengurusan dan kesedaran daripada pegawai juga jelas.
Walau bagaimanapun, isu yang diketengahkan dalam laporan
ketakakuran dan peluang penambahbaikan boleh diambil kira bagi mengukuhkan lagi pelaksanaan keseluruhan ISMS di Majlis Bandaraya
Petaling Jaya.
Lampiran I
LAPORAN PENEMUAN
AUDIT DALAM 2017
33
Lampiran II
AUDIT DALAM
Audit Dalam (internal Audit) telah dilaksanakan pada 17-22 Mei
yang lalu dimana sebanyak 4 NON-CONFORMITY- minor (NCR) dan 10
Opportunities For Improvement (OFI) telah dikeluarkan dan semua
teguran audit sedang dalam tindakan pembetulan oleh pasukan ISMS.
Lampiran II
AUDIT ISMS
TARIKH
AUDIT DALAM
• 17-22 Mei 2017
TARIKH
AUDIT SUSULAN
• Ogos 2017
PENEMUAN AUDIT
PENEMUAN AUDIT DALAM ISMS MBPJ
Nonconformity Report
Opportunities For Improvement
2017
•NCR = 4
•OFI= 10
KESIMPULAN AUDIT:
Jumlah NCR: 4
Jumlah OFI: 10
Lampiran II
36
PENEMUAN AUDIT DAN KLAUSA TERLIBAT
i) Nonconfirmity Report (NCR)
Klausa A.7 - Human resource security
Klausa A.8.2.1 - Information Classification
Klausa A.12.2.1 - Controls against malware
Klausa A 6.1.1 - Information security roles and responsibilities
ii) Opportunities For Improvement (OFI)
Klausa A.9 - Access Control
Klausa 7.5 - Documented Information
Klausa A.8.2.3 - Handling of Assets
Klausa A.8.1.3 - Asset Management
Klausa A.18.1.3 - Protection of Records
Klausa A.11.1.1 - Physical Security Perimeter
Klausa A.7 - Human resource security
Klausa A.9.4.1 - System and application access control
Klausa A.11.1.2 - Physical Entry Controls
Klausa A.11.1.1 - Physical security perimeter.
4 NCR
10 OFI
Lampiran II
1. Penyediaan dokumentasi ISMS berada pada tahap BAIK namun perlu
diperkemaskan dari semasa ke semasa.
2. Pengurusan Aset perlu ditambahbaik bagi memudahkan pemantauan
Aset.
3. Pengurusan rekod ISMS perlu diperkemaskan bagi memudahkan pencarian
rekod
4. Kawalan Keselamatan komputer pengguna perlu di tekankan bagi
memastikan kelangsungan perkhidmatan terjamin
RINGKASAN PENEMUAN AUDIT
Rumusan Audit Secara keseluruhannya pelaksanaan dan pemantauan ISMS di MBPJ
adalah berada pada tahap BAIK dan masih terdapat ruang untuk
penambahbaikan dari semasa ke semasa
Lampiran II
MAKLUMBALAS TERHADAP
PENEMUAN NCR
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN
38
Lampiran II
39
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: NCR2017-01
Bil Penemuan Cadangan Tindakan
Penambahbaikan
Tindakan /Status
1.
A.7 Human resource security
Pihak auditee didapati tidak bersedia
menerima kedatangan auditor kerana
tidak dapat maklumat daripada ketua
bahagian sedangkan satu email
pemberitahuan telah dikeluarkan pada 8
Mei 2017.
10 fail telah dipilih secara rawak daripada
buku rekod fail (5 fail 2016dan 5 fail tahun
2017). Didapati hanya 2 daripada 10 fail
tersebut lengkap mengandungi Surat
Tawaran Pelantikan, Borang Soalan
Tapisan Keselamatan (Borang KPKK 11),
Surat Akuan Pematuhan Kakitangan
Dasar Keselamatan ICT Majlis, Akta Rahsia
Rasmi 1972 (Perakuan Kakitangan).
Bahagian Sumber Manusia akan memastikan
pemakluman sampai kepada mereka setiap kali sesi auditan dijalankan. Semua teguran fail akan diselaraskan oleh semula oleh kakitangan yang
bertanggungjawab.
Pihak Auditee telah mengemaskini semula fail bagi memastikan semua
surat dan dokumen telah dikandungkan ke dalam fail kakitangan. Fail-fail yang telah dikemaskini semula adalah seperti berikut:-
Rujukan Fail
MBPJ/APPK/57
MBPJ/APPK(K)/155
MBPJ/APPK(K)/41
MBPJ/APPK(K)/39
MBPJ/PP(PB)(K)/26
MBPJ/PPTA(K)/32
MBPJ/DOC(K)/02
MBPJ/PKTB/244
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
40
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : NCR2017-02
Bil Penemuan Cadangan Tindakan
Penambahbaikan
Tindakan /Status
2.
A.8.2.1Information
Classification
• Tiada Buku Daftar 492A –
Maklumat terperingkat
disediakan oleh pihak Auditee.
• Pengkelasan Fail Jabatan
mendapati Fail ISMS dikelaskan
sebagai Fail Terbuka Terhad.
Menyediakan Buku Daftar
492A - Memastikan
maklumat terperingkat
fail di klasifikasi dengan
betul.
Fail-fail ISMS hendaklah
diklasifikasikan sebagai
Fail Terhad.
Dokumen rujukan perlu
dimuat turun dan
difailkan di dalam fail
dokumen
rujukan/sokongan.
Memindahkan semula Rekod Senarai Fail yang diuruskan oleh pembantu tadbir didalam Buku Daftar
492A . Fail-fail ISMS telah diklasifikasikan sebagai Fail Terhad.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
41
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : NCR2017-03
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
3.
A.12.2.1 Controls against malware Semakan komputer secara rawak di Jabatan Penilaian dan Jabatan Perbendaharaaan mendapati : i. Anti virus SMADAV masih dipasang
pada pc.
ii. Beberapa pc tidak join domain. iii. Ada pc masih menggunakan
akaun ITSUPPORT dan bukan user biasa.
iv. Screen saver tidak mengikut standard (ada 1 minit dan ada 10 minit)
v. Ada pc dengan anti virus last patches adalah tahun 2016.
Semakan perlu dibuat
pada setiap komputer yang terlibat. Pastikan anti-virus yang sah sahaja digunakan dan menggunakan patches yang terkini dan auto update, pastikan semua
komputer joined domain, pastikan user menggunakan akses kepda komputer dengan akaun yang betul dan bukan akaun admin dan screen saver ditetapkan
mengikut standard yang ditetapkan di dalam DKICT.
i. Anti virus selain Kyrol
akan dikeluarkan dari pc pengguna.
ii. Semua PC akan disetkan sebagai domain ICT-Net.
iii. Login PC bagi pengguna biasa
akan disetkan mengikut Profile Pengguna
iv. Screen saver telah disetkan masa 2 minit
v. Semua pc telah
mempunyai antivirus yang terkini.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
42
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : NCR2017-04
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
4.
Terdapat percanggahan
maklumat berkaitan CIO. Auditee menyatakan bahawa CIO baru telah dilantik iaitu Pengarah Khidmat Pengurusan, Tuan Hj. Ahmat Mohaayen Bin Hj Said namun dalam dokumen semakan
mendapati tiada surat perlantikan baru sedangkan telah dinyatakan dalam DKICT CIO mesti terdiri daripada wakil pengurusan tertinggi.
Pasukan ISMS perlu
sentiasa peka dengan sebarang perubahan serta PIC yang bertanggungjawab / pengurus fail mesti sentiasa mengemaskini dokumen untuk tujuan
rekod setiap kali perubahan berlaku sama ada carta organisasi, dokumen serta semua yang berkaitan.
Surat Pelantikan Pengarah
Khidmat Pengurusan, Tuan Hj. Ahmat Mohaayen Bin Hj Said sebagai CIO MBPJ bertarikh 5 Julai 2013 telah dikemukakan dan dirujuk. Walaubagaimanapun, melalui
Keputusan Mesyuarat MKSP bertarikh 6 Jun 2017, Pengarah Teknologi Maklumat masih dikekalkan sebagai CIO dan bertanggungjawab ke atas keselamatan data bagi SISTEM
PENGURUSAN KESELAMATAN
BAGI MAKLUMAT ELEKTRONIK CUKAI TAKSIRAN. Pengesahan CIO daripada MAMPU juga disertakan.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
43
Lampiran II
MAKLUMBALAS TERHADAP
PENEMUAN OFI
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN.
44
Lampiran II
45
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : OFI2017-01, OFI2017-02, OFI2017-03, OFI2017-04,OFI2017-05
Bil Klausa Tindakan /Status
1. A.9.4.1 - System and
application access
control
Akuan Keselamatan Kontraktor telah dikandungkan ke dalam Fail. Dokumen prosedur yang dinyatakan telah dikeluarkan daripada dokumen P2 kerana terdapat prosedur yang berulang di dalam dokumen P3. Prosedur tersebut telah dikandungkan dalam P3 dan telah diluluskan.
2. 7.5 Document
information, 9.2 Internal
Audits
Semakan ‘Cross reference’ antara DKICT, Manual dan SOA
disemak semula bagi memastikan ianya selari. Pihak Auditee juga akan memastikan kesemua fail teratur dan direkodkan secara konsisten dan lebih bersedia untuk auditan akan datang.
3. A.8.2.3 Handling of Assets
Pembelian aset IT bagi tahun 2016/2017 telah direkodkan dan disusun dengan sempurna
4. A.18.1.2 - Intellectual property rights
Kawalan telah direkodkan. Kabinet fail dibuka dari jam 8.00pagi sehingga 5.00 petang. Kabinet akan dikunci selepas jam 5.30petang.
5. A.11.1.5
Working in Secure Areas
Pihak Auditee juga akan memastikan kesemua fail teratur dan direkodkan secara konsisten. Semua pembuktian bagi Borang
Kebenaran Kerja akan disemak dan dikemaskini dari semasa ke masa.
PENEMUAN OFI, TINDAKAN DAN STATUS Lampiran II
46
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : OFI2017-06, OFI2017-07, OFI2017-08, OFI2017-09,OFI2017-10
Bil Klausa Tindakan /Status
6. A.11.1.1 Physical Security Perimeter
6. Pemadam kebakaran dalam Pusat Data telah tamat tempoh pada bulan September 2016, email telah diberikan pada bulan April 2017. Emel dan tindakan susulan akan dibuat kepada pihak Jabatan
Kejuruteraan.
7. A.8.1.3
Asset Management
7. Tindakan pengemaskinian kesemua Senarai Aset KEW PA 2, 4 7,
sedang diambil tindakan . Penyediaan KEW P.A 13 juga turut dilaksanakan bagi tujuan memastikan pengawasan keseluruhan rekod komputer meja dan komputer riba Majlis
8. A.9.4.1 System and application access control
2. Pembetulan semula ke atas reference SOA bagi Handling Of Asset kepada 030202 (Prosedur Pengendalian Maklumat) telah diambil tindakan dan semua teguran kesalahan kod dan tajuk yang tidak sama telah dikemaskini.
9. A.11.1.2 Physical Entry Controls.
9. Keselamatan keluar / masuk pelawat Unit Teknologi Maklumat MBPJ akan lebih dipertingkatkan dengan mewajibkan setiap pelawat yang masuk mengisi Buku rekod keluar / masuk pelawat. Buku rekod telah disemak semula dan dibuat penambahbaikan
10. A.11.1.1 Physical security perimeter.
10. Penyediaan fail iaitu rekod bagi perkhidmatan penyelenggaraan berkala (Preventive Maintenance) dan kerosakan (corrective maintenance – adhoc basis) telah dikemaskini semula.
PENEMUAN OFI, TINDAKAN DAN STATUS Lampiran II
1. Penyediaan dokumentasi ISMS berada pada tahap BAIK namun perlu
diperkemaskan dari semasa ke semasa.
2. Pengurusan Aset perlu ditambahbaik bagi memudahkan pemantauan
Aset.
3. Pengurusan rekod ISMS perlu diperkemaskan bagi memudahkan
pencarian rekod
4. Kawalan Keselamatan komputer pengguna perlu di tekankan bagi
memastikan kelangsungan perkhidmatan terjamin
Rumusan Audit
Secara keseluruhannya pelaksanaan dan pemantauan ISMS di MBPJ
adalah berada pada tahap BAIK dan masih terdapat ruang untuk
penambahbaikan dari semasa ke semasa
RINGKASAN PENEMUAN AUDIT DALAM
Lampiran II
TINDAKAN SUSULAN DARIPADA
KAJIAN SEMULA PENGURUSAN
YANG LEPAS DAN PENCAPAIAN
48
MESYUARAT PASUKAN KERJA ISMS
• 10 Jan 2017 - Mesyuarat pertama pasukan kerja ISMS telah dilaksanakan melibatkan
semua wakil dari jabatan terlibat. Wakil yang hadir dikehendaki bersedia dengan aktiviti
dan program ISMS yang bakal dilaksanakan sepanjang tahun 2017. Antara perbincangan
ialah mengenalpasti senarai aktiviti program Kesedaran yang melibatkan penyertaan
semua kakitangan MBPJ dan pelbagai persiapan program telah dibincangkan bagi
memastikan program berjalan dengan lancar.
• 9 Mac 2017 - Mesyuarat kedua pasukan kerja ISMS telah dilaksanakan bagi semakan
keseluruhan dokumentasi ISMS ISO/IEC 27001 :2013 sebagai persediaan untuk Audit
Pemantauan dan Persijilan Semula (Recertification) oleh SIRIM QAS International Sdn. Bhd.
• Pada 17 April 2017, Mesyuarat ketiga pasukan kerja ISMS telah dilaksanakan bagi
mengemaskini dokumen Dasar Keselamatan ICT, Statement Of Applicability (SOA), Risk
Assesments dan Risk Treatement Plan (RTP) supaya ia dikemaskini semula. Satu gerak kerja
berkumpulan telah dibentuk bagi menyiapkan tugasan yang telah diberikan.
• 6 Jun 2017 - Mesyuarat Kajian Semula Pengurusan (MKSP) telah berlangsung melibatkan
wakil pihak pengurusan tertinggi. Mesyuarat yang dipengerusikan oleh Datuk Bandar
MBPJ telah meluluskan semua dokumen ISMS dan memutuskan supaya tindakan-tindakan
yang perlu diambil bagi meningkatkan keberkesanan ISMS.
BENGKEL SEMAKAN DOKUMEN ISMS
• Bengkel Pra-Audit Pemantauan ISMS telah diadakan pada 8-10 Mac 2017 di Hotel Swiss
Garden Melaka. Taklimat telah disampaikan oleh Perunding ISMS yang dilantik oleh
MBPJ. Seramai 20 orang peserta yang terdiri daripada wakil Penilaian,
Perbendaharaan,Kejuruteraan,Perundangan dan Penguatkuasaan turut hadir sama
dalam menjayakan sesi bengkel tersebut.
• Bengkel kedua iaitu Semakan dan Kemaskini Dokumen ISMS telah diadakan pada 16-18
April 2017, bertempat di Hotel BlueWave, Shah Alam. Taklimat telah disampaikan oleh
Wakil daripada Seksyen QRD. Objektif bengkel ialah :-
Menyemak isu dalaman dan isu luaran ISMS, objektif dan matlamat kewujudan ISMS
dan skop.
Menyemak dan mengemaskini dokumen DKICT, MyRam, SOA , Security Metric ,
Manual ISMS (P1) serta prosedur-prosedur berkaitan bagi memenuhi keperluan
standard ISMS.
Penyediaan bagi menghadapi Audit Dalam serta Audit Pemantauan (Tahun Ke-2).
• Seramai 15 orang peserta yang telah mengambil bahagian dalam membantu
menyiapkan dokumentasi ISMS.
• Antara dokumentasi yang disemak oleh pasukan ISMS termasuk:-
i. Manual ISMS
ii. Penilaian Risiko
iii. ‘Risk Treatment Plan’ (RTP)
iv. ‘Statement of Applicability’ (SOA)
v. Dasar Keselamatan ICT MBPJ (DKICT)
HASIL BENGKEL ISMS BIL. 1 TAHUN 2017
51
52
No. Perkara Tindakan Susulan
1. Menyemak DKICT, P1 dan P2 untuk
memastikan rujukan para lebih tepat;
Telah dilaksanakan pada 16-18
April
2. Pelaksanaan dan pengemaskinian Penilaian
Risiko dan Risk Treatment Plan (RTP) dalam
aplikasi MyRAM seperti template yang telah
disediakan;
Telah dilaksanakan pada 16-18
April
3. Menyemak SOA untuk memastikan rujukan
para lebih tepat;
Telah dilaksanakan pada 16-18
April
4. Laksana dan rekod pindaan yang dilakukan
jika terdapat perubahan pada prosedur
sedia ada
Telah dilaksanakan pada 16-18
April
5. Pelaksanaan Audit Dalam Akan dilaksanakan
pada 17-22 Mei 2017
6. Mesyuarat MKSP Jun 2017
Hasil Bengkel dan Tindakan Susulan
Dasar Keselamatan ICT versi 3.1
Kemaskini pada polisi pada 020102 Ketua Pegawai Maklumat Kemaskini Surat Akuan Pematuhan Dasar Keselamatan ICT
MBPJ-ISMS- P1-010 Statement of Applicability Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan
implementasi terkini di MBPJ dan membuat pelarasan semula terhadap rujukan SOA dengan DKICT.
MBPJ-ISMS- P1-008 Penilaian Risiko Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan
implementasi terkini di MBPJ
MBPJ-ISMS- P1-009 Risk Treatment Plan
Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan implementasi terkini di MBPJ
53
PERUBAHAN DOKUMEN ISMS
54
PERUBAHAN DOKUMEN ISMS
Unit Teknologi Maklumat
2015
PROGRAM KESEDARAN ISMS
• Sepanjang bulan Mac 2017 telah diadakan Program kesedaran
keselamatan ICT kepada warga kerja MBPJ bagi memastikan kakitangan
melaksanakan pematuhan DKICT dan amalan-amalan terbaik serta
dapat melindungi keselamatan aset ICT. Antara aktiviti yang diadakan
ialah :
• Pertandingan Rekabentuk Inovasi ICT
• Treasure Hunt (“Amazing Running Hunt”) • Pertandingan Mencipta Screen Saver
• Taklimat Kesedaran Keselamatan ICT, Kuiz IT dan Pameran
• Sesi Penyampaian Hadiah
• Pada 15 Mac 2017, bengkel kesedaran keselamatan ICT 2016 telah
diadakan di Dewan Auditorium, MBPJ. Seramai 100 orang kakitangan
Majlis telah hadir dengan jayanya. Antara aktiviti yang telah diadakan
ialah Taklimat Dasar keselamatan ICT, Kuiz Online ICT, Taklimat Perisian
antivirus, Latihan Penggunaan Perisian Google Suite dan Pameran
Knowledge Management System (KMS) .
Unit Teknologi Maklumat
2017
BENGKEL ISMS
PROGRAM KESEDARAN ISMS
PERTANDINGAN REKABENTUK INOVASI ICT
PERTANDINGAN AMAZING RUN
PENGLIBATAN PIHAK PENGURUSAN DAN WARGA KERJA
PROGRAM KESEDARAN ISMS
HEBAHAN FLYERS ISMS
PENILAIAN RISIKO
(RISK ASSESMENT)
63
LAPORAN PERUBAHAN (TREND) PENCAPAIAN PELAKSANAAN ISMS
HASIL PENILAIAN RISIKO
STATISTIK BAGI TEMPOH 2016-2017
64
1
68
272
0 5 25
0 0
166
0 1
23
0 3
25
0 0 7
0
50
100
150
200
250
300
HIGH MEDIUM LOW
HARDWARE
SOFTWARE
PEOPLE
DATA
SERVICES
SUPPORT
PENILAIAN SEMULA
RISIKO ISMS – UTM MBPJ
65
Asset group Asset value Asset Count
Low Medium High
Hardware 20 28 67 115
Software 0 2 7 9
People 0 77 0 77
Information And Data
12 4 0 16
Services (supporting)
15 9 0 24
Services (accessibility)
0 6 0 6
Total 47 126 74 247
Appendix A Asset Classification and Valuation
Table 3-1 : Asset Based on Asset Group
Jumlah Aset MBPJ
66
Asset group Risk Level
Low Medium High
Hardware 272 68 1
Software 25 5 0
People 166 0 0
Information And Data 23 1 0
Services (supporting) 25 3 0
Services (accessibility) 7 0 0
Total 518 77 1
Appendix D Overall Risk Analysis Distribution
Table 3-5 : Risk level for All Assets
Tahap risiko aset UTM
PENCAPAIAN
PENGUKURAN KAWALAN
(SECURITY METRIC )
67
68
• Melaporkan Pencapaian Security Metrics
bagi pelaksanaan kawalan keselamatan
oleh Pasukan Pelaksana ISMS
TUJUAN
68
LAPORAN PERUBAHAN (TREND) PENCAPAIAN PELAKSANAAN ISMS
PENGUKURAN METRIK PENCAPAIAN OBJEKTIF KESELAMATAN
BAGI TEMPOH 2016-2017
METRIK 1 METRIK 2 METRIK 3 METRIK 4 METRIK 5
2016 100 100 100 100 53.07
2017 100 100 100 100 53.07
0
20
40
60
80
100
120
PENGUKURAN METRIK
69
SECURITY METRIC : PROGRAM KESEDARAN Menilai perlaksanaan program kesedaran dalam tempoh setahun
BIL PERKARA KETERANGAN
1. Objektif Memastikan program kesedaran keselamatan
ICT dilaksanakan sekurang-kurangnya sekali
setahun.
2. Sasaran Pengukuran 100%
3. Kekerapan Pengumpulan
Data
Sekali Setahun
4. Formula Pengukuran S = (X/Y) * 100
100 = (1/1) * 100
Dimana;
S – Peratusan pelaksanaan program dalam
tempoh setahun.
X – Jumlah pelaksanaan program setahun.
Y – Jumlah minima program yang perlu
dilaksanakan dalam tempoh setahun.
5. Pencapaian Objektif 100%
70
SECURITY METRIC : AKTIVITI BACKUP Mengukur samada aktiviti backup yang dilaksanakan adalah berjaya atau
pun tidak
BIL PERKARA KETERANGAN
1. Objektif Untuk memastikan kawalan backup
dilaksanakan dengan berkesan.
Skop backup :- Server Cukai Taksiran,
penilaian dan kutipan
2. Sasaran Pengukuran 100% aktiviti backup berjaya
3. Kekerapan Pengumpulan
Data
Setiap 3 bulan sekali
4. Formula Pengukuran S = B/(B+T) * 100
S = 1/(1+0) * 100
S = 100
Dimana:
S – Peratusan aktiviti backup yang berjaya
B – Jumlah aktiviti backup yang berjaya
T – Jumlah aktiviti backup yang tidak berjaya
5. Pencapaian Objektif 2016 : 100%
2017 : Belum
71
SECURITY METRIC : AKTIVITI RESTORE Mengukur jumlah aktiviti restore yang berjaya
BIL PERKARA KETERANGAN
1. Objektif Bertujuan bagi menguji keberkesanan proses
dan aktiviti restore data. Memastikan risiko
kehilangan data dapat diminimumkan.
2. Sasaran Pengukuran 100% aktiviti restore berjaya
3. Kekerapan Pengumpulan
Data
Sekali Setahun
4. Formula Pengukuran S = R/ (R+K) * 100
S = 1/ (1+0) * 100
S = 100
Dimana:
S – Peratus aktiviti restore berjaya
R – Jumlah aktiviti restore yang berjaya
K – Jumlah aktiviti restore yang tidak berjaya
5. Pencapaian Objektif 100%
72
SECURITY METRIC : KAWALAN CAPAIAN Menilai samada aktiviti semakan kawalan capaian dapat dilaksanakan secara
berkala
BIL PERKARA KETERANGAN
1. Objektif Untuk mengukur keberkesanan pelaksanaan
aktiviti semakan kawalan yang perlu
dilaksanakan sekurang-kurangnya dua (2) kali
setahun.
2. Sasaran Pengukuran 100% aktiviti semakan dilaksanakan
3. Kekerapan Pengumpulan Data Dua (2) kali setahun
4. Formula Pengukuran S = (A/W) *100
S = (1/1)*100
S = 100%
Dimana:
S – Peratus aktiviti semakan kawalan capaian
A – Jumlah aktiviti semakan kawalan dilaksanakan
W –Jumlah minimum aktiviti semakan kawalan
yang perlu dilaksanakan
5. Pencapaian Objektif 100%
73
SECURITY METRIC : CAPACITY MANAGEMENT Menilai samada peratusan penggunaan kapasiti/threshold (CPU,RAM)
mencapai peratusan maksimum yang dibenarkan. BIL PERKARA KETERANGAN
1. Objektif Pengukuran ini bagi membuat pengunjuran
kapasiti bagi memenuhi keperluan dan
memastikan pencapaian penggunaan sistem
adalah terjamin
2. Sasaran Pengukuran Maksimum threshold adalah 80%.
3. Kekerapan Pengumpulan
Data
Dua (2) kali setahun
4. Formula Pengukuran S = A /B *100
S = 16.8/31.66*100
S = 53.07%
Dimana:
S – Peratusan kapasiti storan
A – Jumlah penggunaan kapasiti storan
B – Jumlah keseluruhan kapasiti storan
5. Pencapaian Objektif 53.07%
74
Berdasarkan Penyataan Dasar ISMS yang telah dinyatakan
pada Bab 3.3, empat (4) objektif keselamatan maklumat
telah dikenalpasti dan perlu dicapai iaitu:
Memastikan program kesedaran keselamatan ICT
dilaksanakan sekurang-kurangnya sekali setahun.
Memastikan aktiviti backup dilaksanakan dengan berjaya
pada setiap bulan dan aktiviti restore dilaksanakan
dengan berjaya sebanyak dua (2) kali setahun bagi
menjamin keselamatan dan ketersediaan
data/maklumat di Sistem Cukai Taksiran.
Melaksanakan semakan kawalan capaian sebanyak dua
(2) kali setahun bagi memastikan keselamatan
data/maklumat di Sistem Cukai Taksiran terjamin.
Memastikan pelan pengunjuran kapasiti dilaksanakan
sekurang-kurangnya sekali setahun.
OBJEKTIF UTAMA KESELAMATAN
76
Kawalan Status Pengukuran
1. Information security
awareness, education
and training
Telah dilaksanakan pada 1-15 Mac 2017
1-10 Mac : Pertandingan Rekabentuk Inovasi ICT
1-10 Mac : Pertandingan Mencipta Screen Saver
11 Mac : Pertandingan Amazing Running Hunt
15 Mac : Program Kesedaran Keselamatan ICT, Kuiz IT, Pameran dan Sesi
Penyampaian Hadiah
7 Mac : Taklimat Suaikenal Lantikan Baru
2. Information backup Ogos 2016: Telah dilaksanakan pada 05/08/2016
Oktober 2016 : Telah dilaksanakan pada bulan Oktober
Tahun 2017 : Akan dilaksanakan setelah pelantikan syarikat dibuat
oleh Majlis di bawah tajuk Tender Membekal Perkhidmatan Pusat DRC
untuk Majlis Bandaraya Petaling Jaya bagi tempoh 3 + 2 tahun
3. Restore
Mac : Telah dilaksanakan pada 28/03/2017 melibatkan table transaksi
sistem cukai taksiran
September: Akan dilaksanakan pada minggu 4, bagi Sistem Cukai
Taksiran
4. Review of user access
rights
Akan dilaksanakan pada Audit Pensijilan Peringkat 2
5. Capacity
management
Ogos 2016 : Telah dilaksanakan pada 10/08/2016 April 2017 : Telah dilaksanakan pada 18/04/2017
SECURITY METRIK
77
AKTIVITI RESTORE
78
UNIT TEKNOLOGI MAKLUMAT
1. Semakan terhadap metrik pengukuran telah ditambahbaik bagi kawalan
Backup dan Restoration supaya ia selaras dengan objektif keselamatan
dan memastikan pengukuran pencapaian sebenar direkodkan dengan
jelas.
2. Kesaksamaan audit terhadap proses audit telah diperbetulkan supaya
perekodan punca penemuan audit lebih konsisten.
3. Agenda dalam mesyuarat MKSP telah diperincikan dengan lebih jelas
dengan menampakkan perubahan pencapaian pelaksanaan ISMS
mengikut aturan.
4. Kecukupan maklumat di dalam dokumen seperti merekodkan nama
penuh yang jelas, tarikh tandatangan diturunkan dan versi dokumen
yang dirujuk telah disemak serta cara dokumen disimpan telah diperbaiki
untuk memudahkan pencarian maklumat bila diperlukan.
5. Keputusan dari pelaksanaan risk treatment plan (RTP) tersebut telah
direkodkan dengan jelas dan digunakan semasa pentaksiran semula
risiko yang dijalankan mengikut keperluan organisasi.
MAKLUMBALAS PENEMUAN 5 OFI YANG TELAH DITAMBAHBAIK
PERUBAHAN-PERUBAHAN
YANG BOLEH MEMBERI KESAN
TERHADAP SISTEM MAJLIS
79
PELAN PENILAIAN RISIKO
Risk Treatment Plan (RTP)
80
Category Asset Threat Mitigation Plan Time length
Status Start End
Hardware HP Core
Switch
Failure of
LAN and
WAN
Kerja-kerja pengkabelan untuk
pelaksanaan switch
redundancy
Jun-17 Dec-17 Restructure
Cabling,
grouping
(Fiber) - on
paper work
stage, target
appointment -
completion Dec
2017
Hardware SUN M3000
Server
Database
Power failure > Menaiktaraf UPS
(redundancy) - IT - PTM &
PPTM
> Tindakan Jabatan
Kejuruteraan - naiktaraf struktur
electrical bangunan
Jun-16 Dec-17 1. UPS –
completed on
April 2017
2. Building
electrical
structure –
Dalam Kajian
sedang
dilaksanakan
oleh appointed
consultant
PELAN PENILAIAN RISIKO
Category Asset Threat Mitigation Plan Time length
Status Start End
Software Oracle 9.2.0 Loss of
personal
• Melantik pembantu DBA
• Melantik pembantu DBA
dikalangan kakitangan sedia
ada
Jun-16 Dec-16 Telah dilantik
pada tahun
2016 -
completed
People Staf UTM Personnel is
not
competent
Permohonan latihan PLSQL
telah diminta untuk bajet 2016-
2017
Jun-16 Dec-17 Penyediaan
paperwork,
target
completion
training
attended
Software Oracle 9.2.0 End of
Support
Loss of Data
Kajian Teknologi baru - 2017
Fine tuning healthcheck 6 mth
Oracle support from Array
Technology - preventive
maintenance every 3 mths
(space, i/o, table space
availability, user scema status,
object error checking, lock
checking, share pool clear,
temporary table space
maintenance)
Apr-17 Jul-17 Projek naiktaraf
server
pangkalan data
dan oracle 9i
kepada oracle
12c bermula
pada 14 Feb
dan berakhir
pada Julai
2017
PELAN PENILAIAN RISIKO
Category Asset Threat Mitigation Plan Time length
Status Start End
Data and
Information
Database
MPPJDB1
Data loss due
to exhausting
storage
medium
Decision: To avoid.
No plan treatment is taken
Jun-17 Dec-18 Review the
treatment plan to
- upgrade to Dell
storage in Dec 16
(datastore 01 -04
(1TB
each))dedicated
for 3 system in
the scope
Currently
utilization under
20%
Services
(Supporting)
Penghawa
dingin utama
Hardware
malfunctions
Pelaksanaan penyelenggaraan pusat
data
Jan-16 Dec-17 Contract ended
Dec 2015.
Proposed
maintenace
support from
Kejuruteraan for
2016.
Currently, not
support yet by
Kejuruteraan but
supported by on-
call basis
corrective
maintenance
PELAN PENILAIAN RISIKO
Category Asset Threat Mitigation Plan Time length
Status Start End
Tawaran semula
untuk kerja-kerja
penyelenggaraan
Pusat Data
PELAN PENILAIAN RISIKO
CADANGAN PENAMBAHBAIKAN
PERLAKSANAAN ISMS
Keperluan Data Recovery Center
Meningkatkan kemahiran Sumber
Manusia yang lebih kompenten
Latihan kemahiran ISMS secara
berterusan
Pengurusan Rekod dan fail yang
lebih tersusun
Sumber Manusia
Bilangan pegawai
mencukupi
Berkelayakan dan Kompeten
Latihan Berterusan
Infra & Kewangan
Peruntukan yang
mencukupi
Kemudahan peralatan yang
mencukupi
Dokumentasi
Dokumentasi yang lengkap
Perlaksanaan Berterusan
KEPERLUAN SUMBER
TINDAKAN SETERUSNYA
87
Audit SIRIM
21-22 Ogos
Aktiviti Fire Drill Julai-Ogos
Semakan Semula
Audit Dalam Julai-Ogos
Mesyuarat Pasukan
CERTIFIED TO
ISO/IEC 27001:2013
CERT NO: AR 6424